связанных или имеющих значение для ИБ;

— управляющие действия должны тщательно координироваться для оптимизации сервиса и согласованного внедрения мер защиты в инфраструктуру обработки информации;

— системы должны проходить в сети аутентификацию;

— подключения системы к сети должны ограничиваться.

Безопасность сетевых сервисов

Меры и средства

Механизмы безопасности, уровни сервиса и управленческие требования должны быть определены и включены в соответствующие соглашения.

Рекомендации по реализации

Следует определить и регулярно мониторить способность провайдера сетевого сервиса безопасно управлять согласованными сервисами, а также согласовать право на аудит.

Следует определить меры безопасности, необходимые для особых сервисов, таких как особенности безопасности, уровни сервиса и управленческие требования. Организация должна удостовериться, что провайдеры сетевого сервиса выполнили эти меры.

Сетевые сервисы включают обеспечение подключений, личные сетевые сервисы и сети платных услуг (англ. value added network, VON) и управленческие решения по сетевой безопасности, такие как сетевые экраны и системы обнаружения вторжения. Диапазон таких сервисов простирается от простого неуправляемого траффика до комплексных платных услуг.

Особенностями безопасности сетевых сервисов могут быть:

— технология безопасности сетевых сервисов, такая как аутентификация, шифрование, контроль сетевого подключения;

— технические параметры безопасного подключения к сетевым сервисам в соответствии с правилами безопасности и сетевого подключения;

— при необходимости, процедуры использования сетевого сервиса, ограничивающие доступ к сетевым сервисам и приложениям.

Разделение в сетях

Меры и средства

Группы информационных услуг, пользователей и ИС должны быть разделены в сетях.

Рекомендации по реализации

Одним из методов управления безопасностью больших сетей является их разделение на разные сетевые домены. Домены выбираются на базе доверенных уровней (например, домен публичного доступа, домен рабочего стола, домен сервера), среди объектов организации (например, кадры, финансы, маркетинг) и каких-то комбинаций (например, домен сервера, подключающийся к многим объектам организации). Для разделения также можно использовать разные физические сети и разные логические сети (например, виртуальные частные сети — англ. Virtual Private Network, VPN).

Периметр каждого домена следует хорошо определить. Доступ между сетевыми доменами допускается при условии наличия контроля периметра в виде «шлюза» (например, сетевой экран, фильтрующий маршрутизатор). Критерий разделение сетей внутри доменов и доступа через «шлюзы» должен базироваться на оценке требований безопасности каждого домена. Оценка должна проводиться в соответствии с правилами разграничения доступа, требованиями доступа, ценностью и классификацией информации и учитывать относительную стоимость и влияние на производительность применяемой технологии «шлюза».

Беспроводная сеть требует специального обращения из-за сложности определения ее периметра. Для чувствительных сред весь беспроводной доступ следует рассматривать как внешние подключения и отделить этот доступ от внутренних сетей «шлюзом», который в соответствии с политикой контроля сети будет предоставлять беспроводной доступ к внутренним сетям.

Аутентификации, шифрования и современных технологий контроля пользовательского уровня сетевого доступа, стандартов беспроводной сети может быть достаточно для осуществления прямого подключения к внутренней сети организации.

Сети часто выходят за пределы организации и как форма бизнес-сотрудничества требуют взаимосвязи и обмена устройствами сети и обработки информации. Такое распространение может повысить риск несанкционированного доступа к ИС организации, использующим сеть и требующим защиты от пользователей другой сети из-за чувствительности или критичности.

9.2. Передача информации

Цель: Поддерживать безопасность информации, передаваемой внутри организации и в любую стороннюю организацию.

Передачу информации определяют следующие составляющие:

— политика передачи информации;

— соглашения о передаче информации;

— электронный обмен информацией;

— соглашение о неразглашении.

Политики передачи информации

Меры и средства

Должны быть разработаны формальные политики, процедуры и меры безопасности для защиты передачи информации по всем типам средств связи.

Рекомендации по реализации

При использовании средств связи для передачи информации процедуры и меры безопасности должны содержать следущие элементы:

— процедуры защиты передаваемой информации от перехвата, копирования, модификации, ложной маршрутизации и разрушения:

— процедуры обнаружения вредоносного ПО, которое может передаваться при использовании электронных коммуникаций, и процедуры защиты от него;

— процедуры защиты передаваемой чувствительной электронной информации в форме прикрепленного файла;

— политику или руководящие принципы приемлемого использования средств связи;

— обязанности персонала, подрядчика или других пользователей не должны компрометировать организацию, например, дискредитация, запугивание, самозванство, пересылка письма «счастья», несанкционированная покупка и т. п.;

— использование средств криптографии, например, для защиты конфиденциальности, целостности и аутентичности информации;

— руководящие принципы сохранения и уничтожения всей бизнес-переписки, включая сообщения, в соответствии с национальным и региональным законодательством и нормативами;

— контроль и ограничения использования средств коммуникаций, например, автоматической пересылки электронной почты на внешние адреса;

— напоминание сотрудникам о принятии мер предосторожности, чтобы не раскрыть конфиденциальную информацию;

— неоставление сообщений, содержащих конфиденциальную информацию, на автоответчиках, поскольку они могут быть воспроизведены неуполномоченными лицами, храниться в общих системах или некорректно храниться из-за попадания не туда;

— напоминание сотрудникам о проблемах использования факсимильных аппаратов или сервисов, а именно:

• несанкционированный доступ к хранилищам встроенного сообщения для получения сообщения;

• умышленное и неумышленное программирование машин для отправки сообщения на специальные номера;

• отправка документов и сообщений на неправильный номер из-за попадания не туда или неправильно записанных номеров.

В дополнение сотрудникам следует напоминать, что они не должны вести конфиденциальные разговоры в публичных местах или незащищенных офисах и местах встреч и по незащищенным каналам связи.

Передача информации может происходить с использованием разных типов средств коммуникаций, включая электронную почту, голос, факсимиле и видео.

Передача ПО может происходить с использованием разных типов носителей, включая загрузку из Интернета и покупку у разработчиков, продающих готовую продукцию.

Соглашения о передаче информации

Меры и средства

Соглашения должны обеспечить безопасную передачу бизнес-информации между организацией и сторонними организациями.

Рекомендация по реализации

Соглашения о передаче информации должны включать следующее:

— обязанности руководства по контролю и уведомлению о передаче, рассылке и получению информации;

— процедуры обеспечения отслеживаемости и неотказуемости;

— минимальные требования технических стандартов упаковки и передачи информации;

— эскроу соглашения (хранятся у третьего лица и вступают в силу только при выполнении определенного условия);

— стандарты идентификации курьера;

— обязанности и ответственности в случае инцидентов ИБ, таких как потери данных;

— использование согласованной системы маркировки чувствительной или критичной информации, обеспечивающей ее немедленное понимание и соответствующую защиту;

— технические стандарты записи и считывания информации и ПО;

— любые специальные меры защиты, требуемые для защиты чувствительных элементов, например, криптография;

— поддержка цепочки поставок транзитной информации;

— применимые уровни контроля доступа.

Следует установить и поддерживать политики, процедуры и стандарты по защите информации и физических носителей во время транзита, которые должны быть отражены в соглашениях о передаче информации.

Содержание ИБ в любом соглашении должно отражать чувствительность содержащейся бизнес-информации.

Соглашения могут быть электронными и ручными и иметь форму формальных контрактов. Специальный механизм передачи конфиденциальной информации должен быть совместимым со всеми организациями и типами соглашений.

Электронный обмен сообщениями

Меры и средства

Информация электронного сообщения должна иметь соответствующую защиту.

Рекомендации по реализации

Необходимо учитывать следующие рекомендации ИБ:

— защита сообщений от несанкционированного доступа, модификации или отказа сервиса, соизмеримая со схемой